组件介绍
VMware(威睿) 是一家提供全球桌面到数据中心虚拟化解决方案的厂商。
VMware Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation是自动化部署方案云管平台。VMware Cloud Foundation是VMware公司混合云平台。vRealize Suite Lifecycle Manager是vRealize Suite生命周期和内容管理平台。
漏洞简介
2022年4月9日,深信服安全团队监测到VMware官方发布安全补丁的通告,共修复了8个安全漏洞。
序号 |
漏洞名称 |
漏洞编号 |
严重等级 |
影响范围 |
1 |
VMware 服务端模板注入漏洞 |
CVE-2022-22954 |
严重 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 VMware Identity Manager : 3.3.6,3.3.5, 3.3.4, 3.3.3 4.x, vRealize Suite Lifecycle Manager: 8.x |
2 |
VMware 身份验证绕过漏洞 |
CVE-2022-22955、CVE-2022-22956 |
严重 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 |
3 |
VMware 远程代码执行漏洞 |
CVE-2022-22957、 CVE-2022-22958 |
严重 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 VMware Identity Manager : 3.3.6,3.3.5, 3.3.4, 3.3.3 VMware vRealize Automation: 7.6 VMware Cloud Foundation (vIDM): 4.x, VMware Cloud Foundation (vRA): 3.x vRealize Suite Lifecycle Manager: 8.x |
4 |
VMware 跨站请求伪造漏洞 |
CVE-2022-22959 |
高危 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 VMware Identity Manager : 3.3.6,3.3.5, 3.3.4, 3.3.3 VMware vRealize Automation: 7.6 4.x, VMware Cloud Foundation (vRA): 3.x vRealize Suite Lifecycle Manager: 8.x |
5 |
VMware 本地权限提升漏洞 |
CVE-2022-22960 |
高危 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 VMware Identity Manager : 3.3.6,3.3.5, 3.3.4, 3.3.3 7.6 4.x, VMware Cloud Foundation (vRA): 3.x vRealize Suite Lifecycle Manager: 8.x |
6 |
VMware 信息泄露漏洞 |
CVE-2022-22961 |
中危 |
VMware Workspace ONE Access: 21.08.0.1,21.08.0.0,20.10.0.1, 20.10.0.0 VMware Identity Manager : 3.3.6,3.3.5, 3.3.4, 3.3.3 4.x, vRealize Suite Lifecycle Manager: 8.x |
高危及以上漏洞描述
VMware 服务端模板注入漏洞CVE-2022-22954
简介:该漏洞为严重等级漏洞,远程攻击者利用该漏洞发送特制的HTTP请求,并执行服务器端模板注入从而导致远程代码执行。
VMware 身份验证绕过漏洞CVE-2022-22955、CVE-2022-22956
简介:该漏洞为严重等级漏洞,远程攻击者利用该漏洞可以绕过身份验证过程,从而未经授权访问应用程序。
VMware 远程代码执行漏洞CVE-2022-22957、CVE-2022-22958
简介:该漏洞为严重等级漏洞,具有管理访问权限的攻击者可以通过恶意 JDBC URI 触发不可信数据的反序列化,从而导致远程代码执行。
VMware 跨站请求伪造漏洞CVE-2022-22959
简介:该漏洞为高危漏洞,攻击者可以通过跨站点请求伪造来欺骗用户,使用户触发 JDBC URI,从而造成远程代码执行。
VMware 本地权限提升漏洞CVE-2022-22960
简介:该漏洞为高危漏洞,攻击者利用该漏洞可以将权限提升到root权限。
影响范围
可能受漏洞影响的资产广泛分布于世界各地。国内受影响资产主要分布于广东、江苏、浙江等省市。目前受影响的产品:
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
官方修复建议
当前官方已发布最新版本, 建议受影响的用户可以参考如下官方修复方案,及时更新升级到最新版本。